Fluxuri de lucru. Modelare, verificare, securitate

Transcriere

1 1-1 Universitatea Al. I. Cuza, Iaşi Facultatea de Informatică Master Securitatea informaţiei

2 1-2 Prof. dr. Cristian Masalagiu (Titular Curs/ Seminar/ Laborator)

3 1-3 Structura anului universitar , semestrul II, anii terminali (decizie Rectorat): 14 săptămâni activitate didactică (18 februarie 02 iunie) + o săptămână liberă în perioada Sărbătorilor de Paște (29 aprilie 05 mai) = 15 săptămâni + 2 săptămâni (03 iunie 16 iunie): evaluări finale + 2 săptămâni (17 iunie 30 iunie): finalizarea lucrării de disertație; 1 săptămână dintre cele 2 va fi rezervată pentru susținerea unor examene de restanță sau măriri de note; în ultima săptămână din perioadă se vor face și înscrierile pentru examenul de dizertație + 1 săptămână (01 iulie 07 iulie): susținerea lucrării de dizertație În plus, în săptămâna a 8-a de activitate didactică (08 14 aprilie): evaluare pe parcurs (posibil )

4 1-4 Nota de la evaluarea pe parcurs (și/sau cea finală ), va conta ½ din nota finală (NOTA1) Până la lucrarea (posibilă ) s-ar putea să facem doar cursuri Fiecare curs (2/ săptămână ) vă va fi furnizat în format electronic, vinerea, în săptămâna predării Mai exact, materia predată până la un moment dat va putea fi accesată direct printr-un link din pagina mea web Evident, când nu vom face curs explicit, vom face seminar/ laborator (individual )

5 1-5 Pe parcurs, fiecare student va prezenta câte un referat apreciat cu NOTA2, reprezentând ¼ din nota finală (alternativ: altă activitate/proiect ) Prezenţa la ore nu este obligatorie, dar: nu dau proiecte pe INTERNET; trebuie să vă alegeți activitatea (referat/proiect) de față cu mine; pot face, pe parcurs, alte evaluări (neanunțate) Media aritmetică a acestor alte evaluări pe parcurs va conta și ea în calculul notei finale (NOTA3) în proporţie (tot) de ¼ din nota finală

6 1-6 Fiecare student va avea o fișă personală, numită și portofoliu (PP), pe care o voi gestiona (și) eu, permanent Condițiile elaborării/notării referatului vor fi precizate separat Dacă se alege o altă activitate/proiect (de substituire a referatului), discutăm separat Veți avea acces electronic la toate informațiile utile (cărți, bibliografie specifică etc.), inclusiv la PP

7 1-7 Cursuri anterioare necesare: Logică pentru informatică (an I, Licență) Securitatea informaţiei (an III, Licență) Fundamentele algebrice ale informaticii (an I, Licență) Limbaje formale, automate și compilatoare (an II, Licență) Opţional: Programare logică/ Programare funcţională (an II/ III, Licență); Calculabilitate, decidabilitate şi complexitate (an III, Licență)

8 1-8 De la MSI (măcar de reamintit problematica): Protocoale de securitate: modelare și verificare Specificarea și verificarea sistemelor Modele de securitate Securitatea rețelelor de calculatoare (poate și în legătură cu alte clase de dispozitive soft/ hard, pentru care s-a studiat o securitate specifică (sisteme de operare, telefoane mobile etc.)

9 1-9 Structura și conținutul dorit al cursului Evidențiem întâi câteva cuvinte cheie, după fixarea cărora vom decide asupra căror subcapitole vom insista Imediat din titlu apar cuvintele: securitatea informației și logici de încredere Legat de securitatea informației, ar trebui să vorbim despre sistemele multiagent, în mediu internautic nesecurizat, care folosesc protocoale de securitate (în comunicare, pentru asigurarea securității)

10 1-10 Legat de logicile de încredere, să subliniem că acestea sunt generalizări atât ale logicilor clasice (aristotelice), precum și a unora neclasice, numite logici epistemice (apropiate cumva și de mai cunoscutele logici modale/ temporale) Ca o schemă generală: pentru a manipula informația într-un mod securizat, este nevoie ca protocoalele de comunicare să fie demonstrate că funcționează corect, înainte de a fi utilizate

11 1-11 Pentru aceasta, proprietățile protocoalelor (legate de securitate) se vor exprima prin formule (într-o logică specifică) Aceste formule trebuie demonstrate a fi valide, atât pe parcursul, cât și la sfârșitul unei comunicări bazate pe un anumit protocol Vom vorbi astfel despre algoritmi de verificare a satisfacerii unor proprietăți, adică de rezolvare a unei probleme SAT, într-o logică (de încredere) particulară Din motive evidente, acești algoritmi sunt bazați pe sintaxă

12 1-12 Formal, va trebui să amintim lucruri mai consistente privind sistemele deductive și teoriile logice Practic (vizând implementările comerciale existente), am putea lua în discuție anumite ATP-uri = Automated Theorem Prover-e; sau, alternativ, MC = model-checker-e, sau/și SMTuri = Satisfiability Modulo Theories-prover-e De exemplu: ATP-ul Isabelle/ HOL (Higher Order Logic); MC-urile MCMAS (A Model Checker for MultiAgent Systems) sau TLA/ TLC (Temporal Logic of Actions/ TL(A)Checker); sau SMT-ul Z3

13 1-13 Unde suntem, pentru acest curs? Lumea (virtuală) de azi este ostilă: mici greșeli pot produce adevărate dezastre Trebuie însă să interconectăm în siguranță (nu e vorba doar ce cea tradițională : lacăte etc.) organizații care n-au nicio încredere reciprocă (și persoane), fără a dispune (de cele mai multe ori) de vreo coordonare centralizată Întreaga societate începe să depindă de acest lucru, pentru a rămâne fiabilă, solidă, autentică

14 1-14 The Internet isn t insecure. It may be unsecure. Insecurity is mental state. The users of the Internet may be insecure, and perhaps rightfully so Simson Garfinkel Trebuie deci să putem (măcar): -Limita dezvăluirea unor informații la anumite mulțimi dezirabile de date -Monitoriza comunicațiile pentru a urmări/prinde răufăcătorii = intrușii/intruders -Împiedica coruperea datelor personale - Distruge calculatoarele care dețin conținuturi piratate -Comunica în anonimitate

15 1-15 Câteva dintre acțiunile posibil a fi efectuate de intruși (și daunele care pot fi provocate), în urma unor atacuri (nimic despre ghicit): -Eavesdrop/ tragere cu ochiul/urechea /furat (compromițând routere, link-uri etc.) -Trimiterea de mesaje arbitrare (dezvăluind, de exemplu, adrese IP) -Înregistrarea unor mesaje și retrimiterea lor ulterior (ca fiind de la ) -Modificarea în tranzit a unor mesaje (influiențând ) -Scrierea unor coduri malițioase (păcălind credulii să le ruleze; nu discutăm viruși )

16 1-16 Câteva dintre lucrurile care trebuie îndeplinite (și considerate ca fiind atribute/proprietăți ale oricărei cumunicări = schimb de informații sigure): -Autentificare/certificare/authentication: Cine ești? -Autorizare/permisiune/delegare/identificare/ authorization: Tu ai voie să faci asta? (-Interzicerea efectuării unei emisii /dos (denial of service) poate fi văzută și ca o ne-autorizare) -(Protejarea) integrității/integrity protection: o verificare complex a datelor/textului transmis, care necesită cunoașterea/ generarea/verificarea unui secret (cheie, certificat, semnătură) -Admiterea/non-repudiation: abilitatea de a trimite un text într-un mod în care (noul) receptor poate ști (cu exactitate) emițătorul original -(Protejarea) anonimității/anonymity participanților la comunicare (sau, asigurarea intimității)

17 1-17 Nu vom intra în amănunte legate de criptografie, dar de obicei, vom presupune că toate textele vehiculate cunt criptate Vom vorbi liber, presupunând cunoscuți termeni ca: criptare/ criptotext/ ciphertext; decriptare/ plaintext ( inverși unul față de altul), cheie (publică, privată, secretă, împărțită), algoritmi de criptare/decriptare (DES data encryption standard, RSA Rivest, Shamir, Adleman, ECC eliptic curves crypto, CH - cryptographic hashes etc.) Nu ne vom referi în amănunt nici la performanțe computaționale sau costuri

18 1-18 De asemenea, nu ne ocupăm în acest curs de problematici generale pe internet politici, ierarhii, (meta)sisteme (în general, ele sunt concurrent/ distributed/ safety critical), intranet etc. Avem în vedere doar sistemele multiagent, și astea (deocamdată) neformalizate Repetăm, în cadrul acestora, vorbim despre comunicare sigură (= transmitere de mesaje) între entități (= indivizi, nu grupuri, coaliții etc.) We don t need to protect a protocol. We need to protect the user

19 1-19 Un protocol de securitate va fi, pe scurt, o (simplă) secvență (finită) de mesaje text (sau tranzacții/ șabloane ), reprezentând comunicarea între două entități (fiecare instanțiere a mesajelor este privită ca o sesiune de comunicare, distinctă de altele, posibil deja efectuate sau doar posibile a fi, în viitor), în mediu internautic, de obicei nesecurizat și având emițătorul (U) și receptorul (V) precizați în mod explicit: U V: text (U îi transmite/ trimite lui V informația/ datele precizate prin text)

20 1-20 Iată și o listă (ne-exhaustivă) a protocoalelor folosite des și dintre care vom alege exemplele noastre (poate și altele, ne-legate direct de calculatoare ): -Kerberos (autentificare) -OR (Onion Routing) și H(erbivore) (anonimitate) -FFS (Feige, Fiat, Shamir), C(Carnivore) și P(Passwords) (identificabilitate/ autorizare; primul este și pentru intimitate) -PGP (Pretty Good Privacy) (intimitate) -HF (Hash Functions) (integritate) -MR (Markowitch, Roggeman) și DS (Digital Signatures) (autentificare) -NS(L) (Needham-Schröder(-Löwe)) (cu chei publice sau cu chei împărțite) -WMF (Wide-Mouth(ed)-Frog) (didactic)

21 1-21 -OR (Otway, Rees) (tot... OR, dar ăsta are doar scop didactic) -Yahalom (didactic) -NS (Neuman, Stubblebine) (tot NS; adică - didactic) -(S)TWA (Shorted Two-Way Authentication) (autentificare) -DF (Diffie, Hellman) (didactic) -STS (Station-To-Station) (didactic) Pentru unele vom fi nevoiți să introducem concepte și chiar formalizări suplimentare

22 1-22 Revenind la ceea ce numim logici, trebuie să cunoaștem bine cum trebuie definită formal o logică pentru a putea fi aplicată efectiv într-un context dat Vorbim despre ceea ce se poate numi logic engineering: sintaxă - alfabet, formule, reguli de inferență, sisteme deductive; semantică - adevăr, structuri, teorii logice; legătură: teoreme de corectitudine și completitudine/tcc; implementări comerciale pentru demonstratoare, etc. Presupunând că stăpânim cele menționate și presupunând că suntem deja familiarizați cu logica BAN (Burrows, Abadi, Needham), vom putea începe cursul (în secvența temporală) cu logica GNY (Gong, Needham, Yahalom)

23 1-23 Ar urma câteva extensii ale BAN și GNY: logica AT (Abadi, Tuttle), logica vo (van Oorschot), logica SvO (Syverson, van Oorschot) poate vom face direct asta Pe de altă parte, logica = concept formal (o logică oarecare va fi notată generic cu L), trebuie aplicată tot într-un context formal, alcătuit din sistemele multiagent virtuale (generic - SISTEM), plasate în internet și folosind protocoale de securitate corecte Ideal ar fi ca SISTEMele să constituie o reprezentare fidelă a realității și ca rezultatele obținute formal în interior să fie confirmate în momentul aplicării lor (având în spate, eventual, și anumite tool-uri soft) - continuare posibilă; după cum am spus, nu vom insista

24 1-24 Clase întregi de proprietăți generale dorite ale SISTEMelor, cum ar fi cele de siguranță/ safety, permanență/ vivacitate/ liveness, corectitudine/ fairness) etc., se pot descrie prin formule din, de exemplu, logicile modale/ temporale După cum am mai afirmat, logicile de încredere sunt (pot fi privite ca) logici epistemice (Epistemic Logics - EL), iar logicile epistemice sunt (și) logici modale/ temporale (episteme, în greacă = a ști/ a cunoaște)

25 1-25 Uneori ele sunt tratate separat (formal, puțin altfel), ca Doxastic Logics - DL (doxa = presupunere); sau, Deontic Logics (exprimă permisiunea și obligativitatea; deon = ceea ce se încadrează în / potrivit cu ) Logicile epistemice, în mare, formalizează noţiunile de cunoaștere (Knoledge) și încredere (Belief) Pot fi folosite, desigur (cu succes) și într-un alt context virtual decât verificarea corectitudinii (funcționării) protocoalelor, dar implicând dihotomia certitudine vs. incertitudine

26 1-26 Astfel, logicile epistemice în general și logicile de încredere în particular, sunt suficient de expresive pentru a prinde noțiunile de K/B ale (multi)agenților într-un SISTEM (un agent știe ceea ce știe/ crede altul; fiecare agent dintr-un grup știe că... etc.) Ca o primă concluzie, logicile de încredere se pot constitui în metode formale de verificare automată a corectitudinii protocoalelor de securitate (mai general, de verificare a funcționării corecte a sistemelor concurente reale/ componentelor hard și soft, oricât de complexe)

27 1-27 BIBLIOGRAFIE (opțională și ne-exhaustivă; link-uri ): 1. M. Huth, M. Ryan - Logic in Computer Science: Modelling and Reasoning about Systems, Cambridge University Press, England, 2000, ISBN R. Stalnaker On Logic of Knoledge and Belief, Springer Verlag, P.C. van Oorschot Handbook of Applied Cryptography, Carleton University, L. Gong, R. Needham, R. Yahalom Reasoning about belief in cryptographic protocols, IEEE Symposium on Research in Security and Privacy, IEEE Computer Society Press, T. Kwon, S. Lim Automation-Considered Logic of Authentication and Key Distibution, Spinger Verlag, 2003.

28 T. Kwon, S. Lim Automation-Considered Logic of Authentication and Key Distibution, Spinger Verlag, M. Benerecetti, et al. A Logic of Belief and a Model Checking Algoritm for Security Protocols, D. Monniaux Analysis of Cryptographic Protocols Using Logics of Belief: An Overview, Journal of Telecommunications and Information Technology, J.J. Ch. Meyer, W. van der Hoek - Epistemic Logic for AI and Computer Science, Cambridge Univ. Press, G. Bella Formal Correctness of Security Protocols, Springer Verlag, D. Monniaux - Decision Procedures for the Analysis of Cryptographic Protocols by Logics of Belief, Proceedings of the 12th Computer Security Foundations Workshop, 1999.

29 1-29 FINAL CURS 1

30 2-1 (30) Informal, un protocol de securitate este o secvență (finită) de mesaje text (sau tranzacții/ șabloane ), reprezentând comunicarea între două entități (fiecare instanțiere a mesajelor este privită ca o sesiune de comunicare, distinctă de altele posibile), în mediu internautic, de obicei (presupus a fi) nesecurizat și având emițătorul (U) și receptorul (V) precizați în mod explicit: U V: text (U îi transmite/ trimite lui V informația/ datele precizate prin text)

31 2-2 (31) Porțiunile distincte de text sunt separate prin virgulă, iar subporțiunile individualizate pot reprezenta texte reale dar și obiecte mai complexe: diverse prescurtări, extensii, mnemonice, codificări, criptări etc. ale acestora Ca subporțiuni de text, putem identifica: -(grupuri de) agenți (participanți la comunicare; mai sunt numiți și principali, servere (de obicei, considerate a fi trusted, în care orice participant se poate încrede), mașini, dispozitive

32 2-3 (32) -chei de criptare/ decriptare (de obicei, simetrice); divizate/ împărțite, publice, secrete ( corespunzătoare celor publice) și folosite pentru algoritmii (cifruri, criptosisteme) de criptare/ decriptare a textului sursă într-un/ dintr-un text cifrat Se încearcă astfel împiedicarea finalizării unor atacuri (în special al celor prin revenire/ replay attack, care folosesc informațiile vehiculate într-o sesiune de comunicare anterioară temporal) ale unor intruși (atacatori, adversari, persoane rău intenționate, malefice, corupte; de obicei, textele cifrate apar delimitate de acolade, indicându-se și cheia folosită)

33 2-4 (33) -mesageri (co-fondatori, nonces), care sunt numere pseudoaleatoare, prin care se identifică sesiunea curentă a unei comunicări (e vorba de prospețimea informației) -timpul curent de transmitere a text-ului (pentru transmițător) -o marcă (suplimentară) de timp, folosită eventual de participanții la comunicare pentru idenficarea mai sigură a sesiunii de proveniență (curentă sau nu) a (părții de) text în care apare -formule (BAN, GNY; pe scurt, ele vor alcătui o logică L), care, intr-un fel, adnotează anumite (sub)porțiuni de text -alte informații (legate, de exemplu, de poziția geografică a celor care comunică) necesare identificării (autentificării) entităților

34 2-5 (34) Ordinea tranzacțiilor din fiecare instanțiere (execuție) a unui protocol (într-o sesiune) este implicită, fixată aprioric de poziția lor în lista care descrie protocolul idealizat (prima prezentare este, evident, într-un limbaj natural/ informal) Apoi, ca pas următor, fiecare tranzacție din lista anterioară (protocol description) este transformată într-o formulă, printr-un proces numit abstractizare Ca, de fapt, în orice logică în care formulele apar ca traduceri dintr-un limbaj informal, ideea de idealizare, apoi abstractizare este specificată vag și este extrem de greu de aplicat corect

35 2-6 (35) Anumite diferențe ale prezentării informale a protocoalelor pot să nu se distingă suficient în reprezentarea lor logică (ca formule), deși unele ar putea fi critice pentru a decide dacă un protocol este sigur (sau nu), vs. o proprietate selectată Din această cauză, analiza efectuată printr-o logică L poate fi chiar periculoasă deoarece este posibil să ateste un protocol ca fiind sigur, deși în realitate nu este cazul După descrierea unui protocol printr-o listă de tranzacții, formulele obținute prin abstractizare sunt adăugate (ca axiome suplimentare) la axiomele sistemului deductiv al lui L (SD-L devenind SD-L+)

36 2-7 (36) Acceptăm, în final, că un protocol de securitate reprezintă o strategie de comunicare între două sau mai multe părți, folosită pentru a obține un anumit grad de confidențialitate (legată de consecințele efectuării unei tranzacții) Din motive practice, legate de comunicarea on-line, în timp real, vom presupune implicit că textele prezente în mesajele cuprinse în tranzacții sunt mereu criptate, adică utilizăm protocoale criptografice Acestea sunt definite (și) ca fiind algoritmi distribuiți identificați prin secvențe de pași care specifică cu exactitate acțiunile pe care trebuie să le efectueze două sau mai multe entități, pentru a implementa anumite obiective/ proprietăți de securitate (ale comunicării)

37 2-8 (37) În plus, vom considera că un protocol de securitate încorporează cel puţin unul dintre următoarele aspecte (față de protocoalele generale, în rețele etc.): -Stabilirea cheilor sau punerea lor de acord -Identificarea clară a entităţilor implicate în comunicare -Criptarea simetrică şi autentificarea mesajelor prin care se realizează comunicarea efectivă (de date/ informații) -Securizarea transmisiei datelor la nivelul cel mai de jos (șiruri de biți) Pentru aceasta se utilizează metode variate, compuse/ în trepte, etc. De exemplu, TLS (Transport Layer Security) este un protocol criptografic folosit pentru a securiza legăturile HTTP (pe web); ca și antecedentul său SSL (Secure Sockets Layer)

38 2-9 (38) Conținutul (descrierea) protocolului va stabili cu exactitate și următoarele lucruri: -ce modalitate de depistare/ tratare a erorilor se folosește -metoda de compresie a datelor (dacă se folosește vreuna) -modalitatea prin care emițătorul indică faptul că a terminat transmisia mesajului -modalitatea prin care receptorul indică faptul că a recepționat mesajul Alegerea utilizării unui protocol (de către un programator specializat), depinde nu doar de situația concretă și/ sau de așteptări; sunt și alte avataje/ dezavantaje (generale) Astfel, unele protocoale sunt mai simple (didactice...), altele mai sigure (...), altele mai rapide (...), altele sunt dedicate satisfacerii unor proprietăți specifice, etc.

39 2-10 (39) Din punctul de vedere al unui utilizator nespecializat, singurul aspect interesant (care merită menționat) legat de folosirea în practică a protocoalelor, este cerința ca dispozitivul/ computerul utilizat de el să suporte protocolul ales pentru comunicare Să avem mereu în vedere și faptul că orice protocol (abstract) poate fi implementat atât în hard (direct) cât și prin soft, la diverse nivele de profunzime, într-una sau mai multe etape/ trepte...

40 2-11 (40) Repetăm: toate protocoalele de securitate manipulate sunt programate a funcţiona în medii interactive, concrete sau abstracte (INTERNET, reţele, sisteme multiagent distribuite, etc.); ne vom putea referi la ele şi ca interactive protocols ( ) Mai jos selectăm câteva dintre protocoalele deja listate (clasice, universal folosite; sau, mai de nișă ) pe care este posibil chiar să le atingem (dar nu neapărat în ordinea sugerată) Kerberos (autentificare), NS(L) (Needham- Schroeder(-Löwe)) (cu chei publice sau cu chei divizate), OR (Otway, Rees) (didactic), WMF (Wide Mouth Frog), STS (Station-To-Station) (didactice)... Protocoalele sunt incorporate în niște modele, prin care se descrie contextul în care ele funcționează

41 2-12 (41) Modelul Dolev-Yao (MDY) este unul dintre aceste (meta-) modele folosite și pentru a demonstra (în interior, folosind logica) corectitudinea (proprietăţilor) protocoalelor de securitate (interactive) integrate în contextul amintit (este posibil și ca modelul și logica L să fie prinse în aceeași descriere formală = SISTEM) În cadrul amintit, există încrederea (totală) că agenţii îşi pot controla mediul; de exemplu, că ei pot controla distribuţia cheilor comune, împărţite/ divizate Revenind, pe scurt, în MDY, reţeaua/ mediul INTERNET + altele, se reprezentă direct, printr-o mulţime de entități, maşini, dispozitive (mai mult sau mai puțin abstracte), care pot schimba informații/ date, prin mesaje (mesajele fiind constituite din texte brute, care pot fi însă definite/ construite și cumva aproape formalizate)

42 2-13 (42) În MDY se presupune în plus că un intrus poate auzi/ vedea, intercepta şi sintetiza orice asemenea mesaj Se consideră că intrusul este limitat doar de restricţiile legate de metodele de criptografie utilizate (nu și de alte tipuri de coerciție; altfel spus, presupunem că atacatorul conduce transmisia; nu uităm că orice comunicare se face pe sesiuni distincte, în timp )

43 2-14 (43) În plus, logicile de încredere sunt proiectate pentru a evidenţia concluziile pe care le poate trage orice entitate participantă (privită, în mare, ca ceva indivizibil/ considerat ca tot) la un dialog de comunicare, pe baza mesajelor primite/ trimise şi pe baza unor presupuneri (beliefs), suplimentare celor de mai sus (de obicei, admise aprioric) Ele sunt destinate conceperii tuturor raţionamentelor legate de protocoalele de securitate, cum ar fi, de exemplu, cele care conduc la un răspuns precis la întrebări de genul Protocolul funcționează corect? sau Protocolul urmează/ satisface specificațiile?

44 2-15 (44) De asemenea, totul este privit la un nivel abstract, deducţiile nefăcându-se pe şiruri de biţi, ci pe mesajele text existente sub diverse forme de redare (până la urmă, pe formule) Se mai presupune (implicit) că toţi participanţii sunt capabili să recunoască (într-o anumită măsură) diverse forme de mesaje, chiar dacă în exprimarea lor (viitoare, finală, 0-1,...) o parte din formatul/ conținutul iniţial ar lipsi

45 2-16 (45) Ne aşteptăm ca o analiză bazată pe logicile de încredere să garanteze că doar proprietăţile dorite, privind de exemplu securitatea datelor, nereplicarea mesajelor (mai general, a tranzacţiilor), admiterea doar a persoanelor de încredere, etc., sunt acceptate în cursul fiecărei sesiuni de comunicare Evident că demonstraţiile formale (într-o logică L) legate de funcționarea dorită a protocoalelor abstracte (care sunt formalizate și ele, de obicei incomplet), nu constituie o garanţie a faptului că şi protocoalele concrete (presupuse a fi implementări fidele ale celor abstracte) vor funcționa corect

46 2-17 (46) Există astfel destule presupuneri implicite (ca mai sus) care pot fi luate (teoretic) drept bune, dar care sunt nevalide în multe cazuri reale După cum știm, prima dintre logicile de încredere introduse a fost logica BAN (Burrows, Abadi, Needham), urmată, destul de repede, de extensii mai expresive, mai evoluate, mai coerente cum ar fi logica GNY (Gong, Needham, Yahalom) sau logica SvO (Syverson, van Oorshot)

47 2-18 (47) O limitare neplăcută a tuturor acestor logici este necesitatea de a adnota/ annotate protocoalele cu formule logice suplimentare, pentru a reprezenta fidel intenţiile celui care a trimis un anumit mesaj Este necesară uneori și adnotarea cu formule privind secretizarea sau prospețimea/ freshness unor anumite porţiuni de informaţie/ mesaj În plus, în cadrul acestor logici nu se poate demonstra formal, în mod direct, faptul că, e.g., cheile/ secretele/ secrecy sunt protejate De fapt, conform MDY, acest lucru este presupus a fi adevărat în mod implicit (atunci când nu este definită o semantică formală)

48 2-19 (48) Când proiectăm/ explicăm un protocol criptografic (abstract), se foloseşte aproape mereu presupunerea implicită Deoarece acest mesaj a fost semnat de (entitatea) Bob, atunci (entitatea) Alice poate fi sigură că acel mesaj provine de la B, aceasta devenind o certitudine informală (posedare a unei credințe/ belief) Presupunerea anterioară stă chiar la baza justificării faptului că un protocol funcţionează/ este corect Într-o demonstraţie bazată implicit pe această presupunere, va lipsi o definiție formală a unei relaţii de încredere între parteneri, precum și certitudinea reală (posedare a unei cunoștințe/ knoledge) că un mesaj nu este, de exemplu, o copie a unui mesaj dintr-o sesiune anterioară

49 2-20 (49) Deşi logicile L (formalizate doar sintactic) pe care le vom descrie înglobează de obicei (în practică) și anumite tehnici de demonstrare automată (sau de tip model-checking, sau ) ele sunt de mare utilitate în sine, prin aceea că ajută la descoperirea unor puncte sensibile ale oricărui protocol, puncte care ar favoriza slăbiciunile acestuia și care ar putea fi ușor exploatate de adversari Vom încheia această parte rezumativă (despre protocoale de securitate criptografice interactive) cu (alte) câteva considerații generale

50 2-21 (50) Scopul final/ fundamental al unui protocol de securitate real nu este acela de a împiedica un observator (fie el și malițios) să cunoască anumite fapte; ci de a preveni consecințele nedorite ale posibilelor acțiuni pe care acel observator ar putea să le efectueze (bazându-se pe cunoașterea acelor fapte) Se știe deja că dacă limităm cunoștințele la care poate avea acces un agent, numărul de acțiuni pe care acesta le poate executa devine și el mai mic Totuși, accentul în definirea unui protocol de securitate, care să aibă șanse să fie sigur, trebuie să cadă pe restricțiile impuse asupra comportărilor agenților și nu pe limitarea accesului lor la anumite cunoștințe (a se vedea și link-ul Automatizarea )

51 2-22 (51) Limitarea acțiunilor implică des costuri foarte mari Protocoalele ar trebui să se bazeze pe strategiile reale pe care agenții le aleg, în scopul de a decide care sunt faptele semnificative pentru luarea deciziei corecte Strategia aleasă (alegere bazată, posibil, și pe statistică și teoria probabilităților; sau pe alte metode formale care tratează aproximarea) va conduce, ideal, de la credințe și ipoteze, la convingeri și certitudini Avem astfel nevoie, pentru selectarea în cunoștință de cauză a unui protocol care să asigure satisfacerea anumitor proprietăți de securitate a comunicărilor (într-un sistem multiagent), atât de o analiză calitativă formală: knoledge, belief, action, strategy, formal proof, semantics, correctness, completeness; cât și de una cantitativă pentru a alege ceea ce este mai potrivit dintre definițiile formale calitative, folosind tot metode formale: teoria măsurii, probabilități și statistică

52 2-23 (52) Orice logică L poate fi furnizată direct prin anumite sisteme deductive (SD-L, SD-L+) Acestea sunt folosite pentru definirea, analizarea și autentificarea formală a unor protocoale (abstracte, criptografice) privind schimbul de informaţii (comunicarea) între anumite entități L ajută, în primul rând, persoanele implicate să determine dacă informaţia vehiculată este demnă de încredere şi/ sau este sigură în raport cu o posibilă interceptare (eavesdropping)

53 2-24 (53) De multe ori este necesar a se utiliza notaţii particulare, corespunzătoare logicii concrete utilizate, chiar pentru protocoalele în sine, care sunt descrise (adnotate) cu formule Repetăm ideea pleacă de la premiza că toate informaţiile care se vehiculează se petrec într-un mediu vulnerabil, supus posibilelor falsificări şi monitorizării publice (a se revedea și partea legată de MDY...) Logica BAN (de ex.) poate fi văzută ca o logică modală (epistemică) multisortată

54 2-25 (54) Sorturile, chiar dacă nu grupează explicit (sintactic) mulțimi de obiecte, constă din mai multe categorii (clase): agenţii/ principalii, cheile de criptare, cuvintele folosite o singură dată (nonces), formulele, etc. Observaţie. O secvenţă de raţionament în BAN (demonstrația propriu-zisă în sistemul deductiv care descrie logica), urmărea măcar trei scopuri: 1.Verificarea originii mesajului (authentication). 2.Verificarea actualităţii (freshness) mesajului. 3.Verificarea încrederii în transmiţător (trust).

55 2-26 (55) Observaţie. Belief logics sunt, în general, decidabile: -Mai exact, există un algoritm care, având la intrare anumite presupuneri şi o concluzie ţintă/ scop (formule scrise într-o logică L concretă, prin care reprezintă proprietăți care ar trebui satisfăcute), se termină (întotdeauna) cu răspunsul DA (concluzia este demonstrabilă din ipoteze, în sistemul dat) sau NU (în caz contrar) -Algoritmii clasici folosesc de obicei noțiunea de mulţime magică (cf. D. Monniaux) -Remarcăm din nou că aceste logici, ca de altfel toate cele construite doar sintactic, pe baza unui sistem deductiv, cum poate fi, de ex., deducția naturală (cunoscută?), nu au o semantică formală; ca urmare, nu dispunem nici de vreo teoremă de corectitudine şi completitudine (TCC)

56 2-27 (56) -Deci, succesoarele BAN (GNY, SvO, ) caută, să modifice axiomele și regulile de inferență pentru a prinde mai bine acele aspecte semantice neincluse în BAN, care pot ține și de contextul în care sunt plasate SISTEMele (desigur, tot în partea de sintaxă) Logica BAN a fost (destul de) criticată pentru este o idealizare, cumva formalizată (dar nu total) însă dubioasă a modelului Dolev-Yao (acesta fiind deja idealizat față de realitate): în cadrul ei se fac anumite presupuneri semantice (reflectate prin sintaxă) neadecvate

57 2-28 (57) Să presupunem că știm modul în care logica BAN rezolvă situaţiile în care un principal P trimite un mesaj de răspuns, {M} Kpq, de la Q (unde K pq este o cheie divizată între P şi Q) În BAN, P poate crede că acest mesaj provine într-adevăr de la Q doar dacă P este sigur că acest mesaj nu este un răspuns al unuia dintre propriile sale mesaje anterioare În continuare, vom vedea că logica GNY este o logică de încredere care rezolvă o asemenea problemă, precum şi altele ne-menţionate aici, fără a folosi asemenea presupuneri Logica GNY nu face nici presupuneri universale ca BAN: nu se presupune astfel că redundanţa este întotdeauna prinsă în mesajele criptate încorporate

58 2-29 (58) În loc de acest lucru, este folosită o nouă noţiune de recunoaştere, prin care se gestionează și alte concepte privind conţinutul mesajelor De asemenea, nu se mai presupune că un principal (agent) poate întotdeauna determina dacă un mesaj a fost sau nu transmis vreodată (în trecut desigur; eventual, în altă sesiune a aceleiași discuții ) de către el însuşi Mai întâi, GNY va separa, pentru fiecare principal P, ceea ce P spune/ said/ conveyed, de ceea ce vede/ posedă/ has Continuăm astfel cu un exemplu simplu de protocol (didactic) tratat în GNY

59 2-30 (59) Un exemplu scurt (ați făcut sigur câteva în BAN, poate Needham-Schröder(-Löwe), cu chei publice sau chei divizate) Fie astfel protocolul dat prin: (a)a B : N a (b)b A : {N a } -Kb (c)a B : {K ab } +Kb Acest protocol trebuie înţeles astfel: în pasul (a), A trimite către B un număr (nou) generat aleator, N a ; B răspunde apoi cu cheia de (de)criptare a lui N a, prin cheia sa privată -K b

60 2-31 (60) În continuare, A răspunde prin criptarea unei (noi) chei destinate noii sesiuni curente (adică K ab ), folosind cheia publică a lui B (+K b ) Pentru a ilustra modul în care funcţionează aici sistemul deductiv al logicilor de încredere vom porni însă cu versiunea lui idealizată/ abstractizată (în GNY), așa cum se face (adică se execută manual transformarea tranzacțiilor în formule, cu ajutorul simbolului ): (a )B N a (b )A {N a } -Kb (c )B ({K ab } +Kb cheie(k ab, A B))

61 2-32 (61) Steluţa ( ) semnifică faptul că ceea ce urmează nu provine neapărat de la entitatea care a primit mesajul Ceea ce urmează după săgeata tremurată ( ) reprezintă o adnotare/ formulă GNY care sugerează faptul că K ab este destinată a fi o cheie partajată secretă (desigur, pentru comunicarea dintre A şi B) Vom mai avea nevoie și de nişte presupuneri semantice suplimentare, care se vor reprezenta astfel în GNY: (i) A +K b (A posedă/ are/ deține cheia publică +K b ) (ii) A B, cu + K b deasupra lui (A crede că B are/ posedă +K b, care este cheia sa publică; sau, A crede că +K b este cheia publică a lui B) vom reveni mai detaliat asupra simbolurilor/operatorilor folosite/folosiți

62 2-33 (62) (iii) A Φ(N a ) (A crede că N a poate fi recunoscut; adică, dacă A vede o parte a unui mesaj despre care bănuie că reprezintă N a, atunci A poate chiar verifica acest lucru) (iv) A #(N a ) (A crede că N a este proaspăt, adică N a a fost folosit pentru prima dată în această sesiune de comunicare care folosește acest protocol, și nu într-o sesiune anterioară) Din acest moment se modifică întreg eșafodajul sintactic construit (logic engineering!) pentru BAN (operatori, formule elementare, axiome, reguli de inferenţă, sisteme deductive = SD-BAN, etc.), inclusiv (eventual) cel provenit din partea de semantică intuitivă

63 2-34 (63) Vom furniza astfel în cele ce urmează întregul sistem deductiv al noii logici (SD-GNY, etc.) Dar putem puncta câteva idei deja Scopul final al protocolului propus mai sus poate fi acela de a a-i induce lui B ideea de a crede faptul că, A crede că K ab este într-adevăr cheia comună, divizată, de sesiune (ceea ce se întâmpla în general și până acum, la celelalte protocoale) Ar trebui să demonstrăm în SD-GNY(+): B (A cheie(k ab, A B)) (și viceversa; în acest caz, trebuie făcute presupuneri suplimentare simetrice pentru B; de făcut voi, efectiv, demonstrația/ demonstrațiile!)

64 2-35 (64) Oricum, tranzacția/ mesajul (c) de mai înainte ar putea fi procesat de către un intrus care are acces la +K b Aceasta este o presupunere realistă, K b fiind o cheie publică care poate înlocui K ab oricând se doreşte Folosind însă metodele logicii formale (adică apelând la sistemele deductive), nu vom putea deduce că protocolul menţionat va îndeplini acest scop, acest lucru neputând fi dedus nici printr-o derivare GNY din ipotezele menţionate

65 2-36 (65) Prezentăm mai întâi logica Gong/ Needham/ Yahalom, folosind câteva informații din articolul original, 1990 (link GNY Articolul original ) și dintr-un altul, 2010/Zhang (îl voi pune doar la nevoie ) Clarificăm astfel lucrurile prezentate incomplet până acum, începând cu construirea sintaxei logicii L = GNY (definim clasa de formule acceptate), vorbind puțin și despre semantica intuitivă ( înglobată aici în simbolistică) Apoi: definim SD-GNY(+), considerăm exemple de protocoale + demonstrații afirmații

66 2-37 (66) FINAL CURS 2

67 3/4-1 (67) Începem cu alfabetul GNY și sintaxa costructivă (Curs 3/4 l-am explicat și la tablă ); vedeți și link-urile amintite De scris: sintaxa completă în BNF; de discutat: semantica intuitivă; comentarii: reguli de inferență pentru SD-GNY/ SD-GNY+ Vom continua cuexemple de analiză a unor protocoale, implicând și introducerea axiomelor pentru SD-GNY+ De dorit să dăm răspunsuri și la: De ce BAN nu este sound? sau Cum ar arăta o semantică formală (clasică) pentru GNY?

68 3/4-2 (68) După cum am menționat, începem cu alfabetul de simboluri/ unitățile lexicale pentru sintaxa GNY P, Q, denotă agenți (principali, dispositive, mașini, entități, etc.); indici SE denotă un secret between principals (shared, suitable...; revenim cu explicații); un server va fi denotat acum prin S 1, S 2 Un mesaj BAN (un text oarecare acolo, criptat sau nu), va fi numit aici, la început, formulă; iar o formulă BAN va fi în GNY numită afirmație/ propoziție/ sentence (tot pentru început)

69 3/4-3 (69) Deci, o formulă (formula formulae) este, pe moment, un nume folosit pentru a ne referi, în final, la un șir oarecare de biți, această valoare fiind caracteristică unei execuții (a unui protocol într-o sesiune) = run O formulă va fi deci atât un nume de variabilă (X, Y, ), cât și o valoare (pentru acestea) Prin (X, Y) (atenție parantezele rotunde pot avea mai multe utilizări) vom nota conjuncția/ concatenarea formulelor X și Y (privite ca texte; notația se generalizează recursiv la n formule) Conjuncția este astfel o listă de formule (fiind asociativă, comutativă, fără elemente multiple )

70 3/4-4 (70) H(X): denotă valoarea unei funcții aplicată argumentului listă X; nu vorbim aici de inversă (sau de ceva similar) Adică, H este one-way, dar nu neapărat bijectivă (oneto-one); se admite că valoarea H(X) este ușor calculabilă (feasible from a computational point of view), dar, dacă este dată H(X), este infeasible să se calculeze X; de asemenea, este infeasible de a se calcula X și X cu proprietatea X X dar H(X) = H(X ) F(X 1, X 2,, X n ): reprezintă valoarea unei funcții având n argumente (n 1), astfel încât, pentru fiecare formulă X i (1 i n) și pentru oricare constante (adică valori) C i, i [n-1] valoarea F(C 1,, C i-1, X i, C i,, C n-1 ) are proprietatea P care urmează:

71 3/4-5 (71) -P: F(C 1,, C i-1, X i, C i,, C n-1 ) denotă tot o funcție ușor calculabilă (în sensul de mai sus), care are (de data aceasta) inversă (funcția este chiar bijectivă) și care inversă este, la rândul ei, ușor calculabilă; exemple de astfel de funcții: F(X 1, X 2 ) = X 1 X 2 ; sau F(X 1, X 2 ) = X 1 X 2, unde, de exemplu, denotă operatorul exclusive or, iar - adunarea în baza 2 (în funcție de context) Distingem și două tipuri speciale de formule, și anume shared secrets (SE) și cheile de criptare/ decriptare (simetrice, shared, publice; notația generică fiind K) -Explicații suplimentare (nu uităm nici: MDV, alte presupuneri făcute implicit) despre ele:

72 3/4-6 (72) Un secret SE va denota și el fie un nume, fie o valoare (în articolul principal se folosesc <S>, respectiv S) Intuitiv, un secret este ceva (de obicei, un text) care ar putea fi folosit pentru/ drept autentificare (de exemplu, în momentul în care cineva se loghează la un remote system folosind metode de tip challenge-response) Sau, ceva care servește ca intrare pentru o keyderivation function (în scopul evident de a se produce una sau mai multe chei, care vor fi utilizate pentru criptare/ decriptare/ copiere de mesaje) Pentru a dispune de chei unice sigure (pe sesiune, chiar pe mesaj uneori ) un secret este combinat adesea cu un așa-numit vector de inițializare (știți )

73 3/4-7 (73) Puțin mai precis, în criptografie un secret este o bucățică de informație cunoscută doar părților implicate într-o comunicare (care se vrea a fi sigură) De exemplu: un password/ passphrase, un număr mare, un șir aleator de biți (nonce), etc. Un secret este fie împărtășit/ împărțit beforehand între părțile care comunică (în acest caz vorbim despre o preshared key), fie acesta este creat la începutul (execuției) unei sesiuni de comunicare normale, adică a unui schimb coerent de informații De obicei, aceasta se face printr-un așa-numit keyagreement protocol; asemenea protocoale utilizează fie criptarea cu cheie publică (cum ar fi Diffie-Hellman), fie criptarea cu chei divizate, în general simetrice (cum ar fi Kerberos)

74 3/4-8 (74) -Alte câteva completări, acum privind cheile: Se notează cu {X} K (D, pe scurt) și ({X} K ) -1 (sau E), criptarea, respectiv decriptarea convențională (a unei formule X, cu cheia K; de ex., cu DES) Se presupune că algoritmii (criptosistemele) folosiți sunt rezistenți la atacuri doar în ceea ce privește ciphertext-ul (pentru plaintext, ne vom restrânge doar la atacurile numite clasice ) Se mai presupune că orice bit al textului criptat depinde de toți biții care constituie plaintext-ul, precum și de cheia de criptare (într-un asemenea mod încât orice schimbare în plaintext va produce o modificare random a ciphertext-ului și vice versa) Se cere ca cheile să satisfacă ecuația D E = X Nu însă neapărat și ecuația (reciprocă) E D = X

75 3/4-9 (75) Prin {X} +K și {X} -K se va denota criptarea/ decriptarea lui X folosind o cheie publică K; în plus față de cerințele stabilite pentru criptosistemele convenționale, vom impune satisfacerea ecuației {{X} +K } -K = X Totuși, mare parte (dar nu toate) dintre sistemele de criptare cu cheie publică (de ex. RSA) satisfac și ecuația reciprocă: {{X} -K } +K = X -În decursul unui run, se va vorbi și despre formule notoriginated-here O asemenea formulă se identifică sintactic prin plasarea în fața unei formule obișnuite a simbolului Ca urmare, o afirmație (urmează detalii) de tipul P X va indica faptul că lui P i se comunică X (P vede X), formulă pe care nu a transmis-o tot el ( ~ = conveyed), înainte, în cursul run-ului curent

76 3/4-10 (76) Să presupunem astfel că o cheie secretă (shared) K este folosită în comunicarea dintre P și Q (diferiți) Dacă admitem că P (construiește și) transmite ( ~) o formulă {X} K, iar mai târziu lui P i se comunică ( ) exact același pachet (posibil, criptat cu alte chei), P nu ar trebui să tragă concluzia că X a fost trimis cândva de către Q (Q ~ X); motivul este acela că P ar fi putut să fi făcut chiar el trimiterea O formulă not-originated-here implică faptul că ea nu a fost transmisă pentru prima dată de către principalul care o recepționează în sesiunea curentă; formula ar fi putut însă fi trimisă de către același principal, dar într-o sesiune anterioară

77 3/4-11 (77) Astfel, în cazul unei formule X, not-originatedhere care este și crezută de P a fi proaspătă, principalul P (se acceptă că) va crede că: el n- a transmis niciodată pe X, dacă o și primește Vom face și anumite precizări legate de posibilitatea creerii unui compilator/ parser/ interpreter pentru traducerea directă ale unui protocol (scris inițial în limbaj natural) în formă abstractă GNY (trecând de fapt printr-o formă idelizată, intermediară), care privesc și Vom vorbi și despre specificațiile formale necesare pentru a face analiza protocoalelor

78 3/4-12 (78) O afirmație (statement), numită și de bază este ceva care reflectă o proprietate particulară a unei formule (formal: predicat 0/1) Din nou (după cum am mai procedat cu formulele sau secretele), prin C vom denota numele sau valoarea unei asemenea afirmații În cele ce urmează, ca și mai sus, prin P, Q vom denota principali și prin X - o formulă (în sensul actual); SE va fi un secret, iar K - o cheie Vom lista acum (și comenta) afirmațiile de bază; în ele apar operatorii GNY specifici

79 3/4-13 (79) P X: Lui P i se spune (is told) X (sau P vede/ sees X): P primește ca receptor (i.e. receives) pe X, posibil după ce mai efectuează niște calcule (cum ar fi decriptarea) Mai precis, formula spusă lui P poate fi mesajul în sine (primit de P), sau orice conținut calculabil al acelui mesaj P X: P posedă/ are (possesses/ has) X; sau, este capabil/ în stare să posede Dacă ne gândim la un stadiu concret de execuție = run, adică a unei sesiuni pentru un protocol, ar trebui ca mulțimea formulelor pe care le posedă P să includă: toate formulele care i-au fost spuse (până la acel stadiu); toate formulele cu care a plecat (pe care le cunoștea) la începutul execuției sesiunii; precum și toate formulele pe care el însuși le-a generat în decursul acelei acelei execuții, până la stadiul respectiv

80 3/4-14 (80) De asemenea, presupunem că P posedă (sau ar fi capabil să posede dacă dorește asta) tot ceea ce se poate calcula din formulele deja posedate P ~ X: P a transmis/ comunicat/ transportat cândva (once conveyed) pe X Din nou, X poate fi mesajul însuși sau o parte care poate fi calculată dintr-un astfel de mesaj (sau, chiar orice formulă care poate fi considerată că a fost/ ar putea fi transmisă implicit) P #(X): P crede/ este îndreptățit să creadă (believes) că X este proaspătă/ nouă/ recentă/ actuală (fresh) Adică, X nu a mai fost folosit(ă) pentru același scop, la niciun moment înainte de execuția (sesiunii curente a) unui protocol

81 3/4-15 (81) De exemplu un random number generator (de o bună calitate), sau... an imitation of a coin (counter) pot furniza formule (aici, ele sunt numere/ nonces) care să poată fi într-adevăr considerate ca noi P Φ(X): similar, P crede/ este îndreptățit să creadă (believes) că X este recognoscibilă/ poate fi recunoscută (recognizable) Cu alte cuvinte, P ar recunoaște cumva, cu siguranță pe X (în cazul în care ar avea ceva cunoștințe/ așteptări (expectations) despre conținutul acesteia, și asta chiar înainte de a o primi P ar putea recunoaște, de exemplu, o variabilă sau o valoare anumită (cum ar fi propriul său identificator), o structură caracteristică (de exemplu formatul unei timestamp), sau o formă particulară de redundanță

82 3/4-16 (82) P P SE Q: P crede (sau ar putea fi îndreptățit să creadă) că SE este un secret convenabil pentru el și Q (acesta este și simetric, adică îl poate împărți cu Q; păstrându-l (sau nu), pe P în partea stângă, putem scrie și Q S P în dreapta lui ) Acest secret ar putea fi folosit de principali, de exemplu pentru a-și putea reciproc demonstra propria identitate Sau, SE ar putea fi folosit pentru a conține sau a se deduce o cheie de comunicare între P și Q Presupunem în plus (implicit) că SE nu ar putea fi niciodată descoperit decât de către P sau Q, nici măcar de vreun alt principal (exceptând doar unul care este trusted pentru P, sau pentru Q)

83 3/4-17 (83) Chiar în cazul excepției, principalul de încredere nu ar trebui să utilizeze SE nici pentru vreo demonstrare a identității (alt)cuiva, nici drept cheie de comunicare P +K Q: P crede (sau ar putea fi îndreptățit să creadă) că +K este o cheie (publică) suitable for Q Presupunem că the matching/ corresponding secret key (i.e. K) nu va putea fi descoperită/ desconspirată de niciun (alt) principal (înafara lui Q; sau, cu excepția, la fel, a altuia crezut de Q) Ca și mai înainte, principalul de încredere nu ar trebui să utilizeze cheia -K nici pentru vreo demonstrare a identității cuiva, nici drept cheie de comunicare

84 3/4-18 (84) P C: P crede (sau ar putea fi îndreptățit să creadă) că afirmația C este adevărată Ca și în cazul formulelor, vom vorbi despre conjuncția afirmațiilor ca fiind (tot) o listă finită, asociativă, comutativă, nerepetitivă, aceasta putând fi dată (aici și acolo) chiar fără a fi pusă între anumite paranteze: C 1, C 2,... Se presupune, evident, că o listă de afirmații (nume/ valori, predicate, ) este tot o afirmație (similar pentru o listă de formule)

85 3/4-19 (85) Încheiem cu alte (tipuri/ scheme de) afirmații și operatori noi care se referă la noțiunea de jurisdicție/ control asupra; prin această noțiune se reprezintă conceptele de încredere/ trust și delegare (de responsabilități) într-un protocol de comunicare P (Q C): P crede (sau ar putea fi îndreptățit să creadă) că Q are jurisdicție asupra afirmației C; adică P crede/ believes că principalul Q este o autoritate și controlează pe C (și că Q trebuie trusted about that) (Următoarea afirmație este un caz particular) P (Q (Q * )): P crede (sau ar putea fi îndreptățit să creadă) că Q are jurisdicție asupra tuturor lucrurilor în care Q crede ; din nou: principalul Q este considerat, implicit, de către P ca fiind complet onest și competent

86 3/4-20 (86) Regulile de inferență folosite la crearea SD- GNY vor urma mai târziu (separat: punctăm axiomele generate de protocoalele în formă abstractă, pentru formarea SD-GNY+, local ) În acest moment, avem totul: ce trebuie reținut, construit și folosit în spiritul logic engineering (excepție: rezultate privind puterea de exprimare, decidabilitate, complexitate, etc.) Pentru conformitate, vom da explicit sintaxa GNY (în BNF), și în acest loc; începem cu alfabetul = Alf, acesta trebuind însă să fie completat corespunzător, de către voi

87 3/4-21 (87) Simboluri generale (neterminali, unități lexicale): - P, Q, (sau P 1, Q 1, p, q, ) entități responsabile cu comunicarea, adică agenți (și principali); chiar R, T, C uneori (ex. - RFID) - S (sau S 1, S 2, ) servere (mașini), adică dispozitive cu rol de intermediari - X, Y (sau X 1, X 2,, Y 1, Y 2, ) formule - N p, N q, (sau N P, N Q, ) nonces (N P este ataşat agentului P, sau respectiv p) - În sintaxă deci, nu facem la indici, de obicei - diferență între literele mari și cele mici, decât dacă precizăm aceasta în mod explicit; uneori nici indicii nu vor fi plasați la locul lor, iar restricțiile sintactice vor fi mai relaxate

88 3/4-22 (88) - Kab (sau K ab ) o cheie împărțită între agenţii a şi b - K o cheie publică sau o cheie secretă (vezi și celelalte comentarii inserate pe tot parcursul textului de față!) Operatori binari care erau și în logica BAN: - : ms believes/crede md - : ms has jurisdiction over/are control/ jurisdicție/ autoritate asupra lui md - ~ : ms said, conveyed/a spus/ trimis/ transmis (cândva) md - : ms sees/ vede (în sensul că într-adevăr îl primește, criptat sau nu; dacă md este criptat, se presupune că ms este capabil să-l decripteze) md

89 3/4-23 (89) - K : ms communicate/ comunică (printr-o cheie K; sau, o cheie publică +K; sau o cheie secretă matching/ corespunzătoare cheii publice +K, notată și -K) cu md - Notația key/cheie(k, ), este una alternativă pentru K (sau +K/-K); o vom folosi uneori și sub forma K / K : from/de la (luând în considerare cheia K; sau +K/-K; sensul săgeții este esențial pentru semantica lui from, legată de ms/md) - <, > (sau (, )): (con)catenation/ concatenare (alăturare textuală de mesaje / formule); operatorul se poate extinde (recursiv) la n componente

90 3/4-24 (90) Operatori binari noi: - : ms possesses/ has/ posedă (sau este capabil să posede ) md - : md este o extension/ extensie a ms; în principal, md este privit ca o afirmație GNY care poate fi ușor dedusă din ms, astfel fiind presupusă a fi implicit adevărată ; dacă ms/md sunt bucăți de text oarecare, cuvântul adevărat (informal) poate fi înlocuit cu corect, complet, sănătos (sound) etc. Operatori unari care erau și în logica BAN: - { } K : encryption/ criptare (cu cheia K, +K, -K)